电信和互联网行业数据安全标准体系建设指南（征求意见稿）

附件21 电信和互联网行业数据安全标准体系建设指南 （征求意见稿） 2020年7月 tRpRuMxOsPvNvNmQzV6M8Q6MnPmMmOnNfQqQzRlOpOsNbRmOnMNZoNqQxNqRzR 目录 前言 ............................................................................................ 1 一、 建设思路及目标 .............................................................. 2 （一） 总体思路 ................................................................. 2 （二） 基本原则 ................................................................. 2 （三） 建设目标 ................................................................. 3 二、 建设内容 .......................................................................... 3 （一） 数据安全标准体系框架 ......................................... 3 （二） 数据安全重点标准化领域及方向 ......................... 6 1.基础共性标准 .............................................................. 6 2.关键技术标准 .............................................................. 7 3.安全管理标准 .............................................................. 9 4.重点领域标准 ............................................................ 12 三、 组织实施 ........................................................................ 15 附件1 术语定义 ..................................................................... 17 附件2 数据安全相关标准项目明细表 ................................. 20 1 前言 随着信息技术和人类生产生活交汇融合，全球数据呈现爆发增长、海量聚集的特点，大数据产业正值活跃发展期，技术演进和应用创新并行加速推进，数据资源已成为国家基础战略性资源和社会生产的创新要素。当前，我国电信和互联网行业高速发展，汇聚大量数据，在释放数字经济发展潜力、促进数字经济加快成长的同时，面临严峻的安全风险。这要求我们深刻认识数据安全的重要性和紧迫性，坚持安全与发展并重，积极应对复杂严峻的安全风险与挑战，加速构建数据安全保障体系。 “安全发展、标准先行”，标准化工作是保障数据安全的重要基础。为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求，指导电信和互联网行业数据安全标准化工作，工业和信息化部组织制定了《电信和互联网行业数据安全标准体系建设指南》（以下简称《建设指南》）。《建设指南》充分发挥标准的基础引领作用，明确行业标准顶层设计，加强行业标准统筹协调，为保障电信和互联网行业数据安全、促进数据合理有序流动、助力数字经济高质量发展提供有力支撑。 2 一、建设思路及目标 （一）总体思路 以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中、四中全会精神，落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求，充分发挥标准在保障数据安全、推动行业健康有序发展中的支撑和引领作用，有效建立电信和互联网行业数据安全标准体系。加强标准的统筹规划，做好与国家标准、相关领域行业标准的衔接工作，鼓励创新技术成果向标准转化，强化标准的实施与应用，加强标准的国际交流与合作，提升标准对数据安全保护的整体支撑作用，为数字经济高质量发展保驾护航。 （二）基本原则 统筹规划，全面布局。结合电信和互联网行业技术、产业发展现状及特点，发挥行业主管部门在顶层设计、组织协调和政策制定等方面的重要作用，制定政府引导和市场驱动相结合的标准体系建设方案，建立适合电信和互联网行业整体情况的数据安全标准体系。 基础先立，急用先行。从数据安全管理工作的重点和难点出发，确定电信和互联网行业数据安全标准体系建设的重点领域，加快基础共性、关键技术、安全管理类标准的研究 3 制定。在此基础上，综合考虑相关重要领域的数据安全现状及面临的风险和挑战，加快推进急需标准项目的研究制定。 多方参与，协同合作。在标准制定过程中聚集电信运营企业、互联网企业、设备提供商、安全企业、科研院所、高校等产业界、学术界多方力量，充分凝聚共识，研究制定电信和互联网行业数据安全相关标准，完善标准研制、应用的全生命周期管理。统筹运用行业资源，充分发挥企业在技术创新、产品开发、示范引领等标准研究与应用方面的主体作用，组织协调相关单位积极参与国际标准的制定、交流与合作。 （三）建设目标 到2021年，初步建立电信和互联网行业数据安全标准体系，有效落实数据安全管理要求，基本满足行业数据安全保护需要，推进标准在重点企业、重点领域中的应用，研制数据安全行业标准20项以上。 到2023年，健全完善电信和互联网行业数据安全标准体系，标准技术水平、应用水平和国际化水平显著提高，有力促进行业数据安全保护能力提升，研制数据安全行业标准50项以上。 二、建设内容 （一）数据安全标准体系框架 电信和互联网行业数据安全标准体系包括基础共性、关 4 键技术、安全管理、重点领域四大类标准。基础共性标准包括术语定义、数据安全框架、数据分类分级，相关标准为各类标准提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。安全管理标准从数据安全保护的管理视角出发，指导行业有效落实法律法规关于数据安全管理的要求，包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准结合相关领域的实际情况和具体要求，指导行业有效开展重点领域数据安全保护工作。数据安全标准体系框架如图1所示。 5 图1 电信和互联网行业数据安全标准体系框架 6 （二）数据安全重点标准化领域及方向 1.基础共性标准 基础共性标准是数据安全保护的基础性、通用性、指导性标准，包括术语定义、数据安全框架、数据分类分级等标准。基础共性标准子体系如图2所示。 图2 基础共性标准子体系 1.1 术语定义 术语定义用于规范数据安全相关概念，为其它部分标准的制定提供支撑，包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系等。 1.2 数据安全框架 数据安全框架标准包括数据安全体系框架以及各部分参考框架，以明确和界定数据安全的角色、职责、边界、各 7 部分的层级关系和内在联系。 1.3 数据分类分级 数据分类分级标准用于指导数据分类分级，给出数据分类分级的基本原则、维度、方法、示例等，为数据安全分类、分级保护提供依据，为数据安全规范、数据安全评估等方面的标准制定提供支撑。 2.关键技术标准 关键技术标准从采集、传输、存储、处理、交换、销毁等全生命周期环节出发，对数据安全的关键技术进行规范。关键技术标准子体系如图3所示。 8 图3 关键技术标准子体系 2.1 数据采集 数据采集标准用于规范数据采集格式、数据标签、数据审查校验等方面相关技术要求，有效提升数据质量，主要包括数据清洗比对、数据质量监控等标准。 2.2 数据传输 数据传输标准用于规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关技术要求，主要包括数据传输完整性保护、数据加密传输等标准。 9 2.3 数据存储 数据存储标准用于规范存储平台安全机制、数据安全存储方法、安全审计、安全防护技术等相关技术要求，主要包括数据库安全、数据安全审计、数据防泄漏等标准。 2.4 数据处理 数据处理标准用于规范敏感数据、个人信息的保护机制及相关技术要求，明确敏感数据保护的场景、规则、技术方法，主要包括匿名化/去标识化、数据脱敏、异常行为识别等标准。 2.5 数据交换 数据交换标准用于规范数据安全交换模型、角色权责定义、安全管控技术框架，并明确数据溯源模型、过程和方法，支撑包括数据交易在内的各类场景下的数据安全共享、审计和监管，主要包括安全多方计算、同态加密、接口安全、数据溯源等标准。 2.6 数据销毁 数据销毁标准用于规范数据销毁和介质销毁的安全机制和技术要求，确保存储数据永久删除、不可恢复，主要包括数据销毁、介质销毁等标准。 3.安全管理标准 安全管理标准从数据安全框架的管理视角出发，指导行业落实法律法规以及行业主管部门的管理要求，包括数据安 10 全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。安全管理标准子体系如图4所示。 图4 安全管理标准子体系 3.1 数据安全规范 数据安全规范标准用于落实细化相关法律法规对数据安全保护的要求，对行业开展数据安全管理提供指导和规范，主要包括数据安全通用要求、个人信息保护要求、重要数据 11 保护要求等标准。 3.2 数据安全评估 数据安全评估标准用于指导行业落实数据安全评估的要求，明确评估的基本概念、要素关系、分析原理、评估方法、实施流程、实施要点和工作形式等要素，指导行业规范开展数据安全评估工作，主要包括数据安全合规性评估、数据安全风险评估、个人信息安全影响评估、数据出境安全评估等标准。 3.3 监测预警与处置 监测预警与处置标准从行业主管部门监管需求的视角出发，明确数据安全监测预警与处置系统及其技术要求，结合数据的敏感度、量级、流向以及账号权限等进行综合分析，实时动态追踪数据安全风险，主要包括监测预警与处置方面的技术要求、接口规范、测试规范等标准。 3.4 应急响应与灾难备份 应急响应与灾难备份标准用于规范数据安全事件的应急响应管理、处置措施，规范灾难备份及恢复工作的目标和原则、技术要求以及实施方法，主要包括数据安全应急响应指南、灾难备份技术要求、恢复能力评价等标准。 3.5 安全能力认证 安全能力认证标准用于规范组织及人员数据安全保障能力、产品与服务数据安全保护水平、数据安全服务能力等 12 相关认证要求，用于指导网络运营者与安全服务机构提升自身的安全能力、服务能力，主要包括管理安全认证、产品安全认证、安全服务认证、人员能力认证等标准。 4.重点领域标准 在基础共性标准、关键技术标准、安全管理标准的基础上，结合新一代信息通信技术发展情况，重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局，并结合行业发展情况，逐步覆盖其他重要领域。结合重点领域自身发展情况和数据安全保护需求，制定相关数据安全标准。重点领域安全标准子体系如图5所示。 13 图5 重点领域标准子体系 4.1 5G 5G 安全机制在满足通用安全要求基础上，为不同业务场景提供差异化安全服务，适应多种网络接入方式及新型网络架构，保护用户个人隐私，并支持提供开放的安全能力